Video: Jacque Fresco Centennial Celebration - March 12th, 2016 (Studeni 2024)
Poznati sigurnosni istraživač Brian Krebs održao je fascinantan, ali zastrašujući govor o trenutnom stanju kibernetičke kriminaliteta, u jučerašnjoj prezentaciji prije otvaranja Gartnerovog simpozija u Orlandu.
Razgovarajući s grupom CIO-ova i ostalih informatičkih rukovoditelja, autor web stranice Krebs on Security i knjige Spam Nation rekao je da postoji veliki "PR jaz" između percepcije i stvarnosti cyber-kriminala. "Svjetlo na kraju tunela nije izlaz", rekao je. "To je vlak koji dolazi."
Posebno je rekao da su negativci učinili bolji posao u razmjeni informacija od CIO-ova; čak i starije verzije izvještaja poput Verizon Data Breach Research Report (Izvještaj o istragama kršenja podataka) često dobro objašnjavaju kako su sustavi narušeni, s informacijama koje su i dalje relevantne. U većini nedavnih hakova, rekao je, jednostavna provjera sigurnosnih dnevnika upozorila bi tvrtke da imaju problem.
Krebs je većinu svog vremena provodio govoreći o napadima na podatke o kreditnim karticama, uglavnom usredotočujući se na zlonamjerni softver usmjeren na POS-ove (POS) sustave. Govorio je o tome kako su u protekle dvije godine negativci ne samo poboljšali svoje napade na takve sustave, već su podzemna tržišta za kupnju i prodaju informacija o kreditnim karticama učinili sofisticiranijim i "lakšim za kupce".
U mnogim slučajevima ulične bande pretvaraju se u prijevaru s kreditnim karticama kao brz način pretvaranja ulaganja od 10 do 20 dolara u 800 do 1.000 dolara. Ne samo da je ovo profitabilno, rekao je, nego je i sam po sebi manje opasan i rizičan od trgovanja drogama, a često se smatra zločinom bez žrtve jer vlasnici računa obično ne snose troškove.
Krebs je uočio probleme poput broja POS sustava s web preglednicima i kako je to vrlo čest vektor napada. Rekao je da prijelaz na kreditne kartice s čip-pin-om ne može riješiti problem, navodeći kako je u drugim zemljama taj prijelaz doveo do porasta prevare u e-trgovini, novih prijevara na računima i preuzimanja računa.
Velik dio toga svodi se na identitet i privatnost, a napomenuo je da je sada dostupno mnoštvo nepromjenjivih osobnih podataka (poput adresa i brojeva socijalnog osiguranja). Rekao je da kada su u pitanju računalni sustavi, oni mogu biti sigurni, brzi ili jednostavni za korištenje: odaberite dva. Većina ljudi odlučila se ne usredotočiti na sigurnost, rekao je. Kao rezultat toga, na Internetu postoji puno mjesta za otkrivanje osobnih podataka o ljudima, a on je pozvao vladu da usvoji stroža pravila o privatnosti, kakva se koriste u većini drugih zemalja.
Na kraju, Krebs je naveo pet područja u kojima je mislio da kompanije mogu postići najveći napredak u borbi protiv kibernetičke kriminalnosti. Veliki je vjernik segmentacije mreže, rekao je kako je sigurnost u većini tvrtki poput bombona: "izvana tvrda i hrskava, iznutra meka i gipka."
Umjesto toga, predložio je da najosjetljiviji dijelovi vaše mreže budu dostupni samo onima unutar organizacije s određenom potrebom. Tvrtke bi trebale osnovati posvećeni tim za reagiranje na nezgode, pregledati vijesti o drugim kršenjima da vide kakve lekcije mogu naučiti, napraviti opetovana ispitivanja o tome što učiniti u slučaju kršenja i uključiti svoje partnere u planiranje sigurnosti.
Dobar je savjet, ali stvari koje se iz dana u dan često zanemaruju radeći nove projekte u IT-u. Uravnoteženost ovih prioriteta ključno je pitanje za mnoge IT rukovoditelje s kojima sam razgovarao na konferenciji.
